Treck TCP/IP协议库“Ripple20”漏洞通告与说明

Posted 2021-04-25 绿盟科技

1

漏洞概述

近日，以色列网络安全公司JSOF的研究人员在Treck公司开发的底层 TCP/IP 软件库中发现了19个0day漏洞，包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。这些漏洞被JSOF命名为“Ripple20”。

Treck TCP/IP是专门为嵌入式系统设计的高性能TCP/IP协议套件，这一系列漏洞都为内存损坏问题，源于使用不同协议（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太网链路层）在网络上发送的数据包的处理错误。“Ripple20”影响广泛领域的物联网设备，涉及HP、Schneider Electric、Cisco、Rockwell Automation、Caterpillar、Baxter等众多供应商，可能导致loT设备受到拒绝服务和远程命令执行等攻击。

漏洞原理分析请参阅博客：

http://blog.nsfocus.net/ripple20-0624/

参考链接：

https://treck.com/vulnerability-response-information

https://www.jsof-tech.com/ripple20

2

绿盟科技涉及情况说明

近日，在获取到“Ripple20”漏洞的情况后，绿盟科技高度重视，第一时间组织了公司各产品线对所属产品进行排查。经过公司产品、研发、技术人员的检测，确定我司所有产品不受“Ripple20”漏洞影响，特此说明，请客户放心使用。

绿盟科技将持续跟进“Ripple20”漏洞的最新动态，请您关注绿盟科技的官网、官微的公告内容。如有问题，您可以通过以下方式联系我们:

您也可以通过公司官网进行在线咨询：

https://www.nsfocus.com.cn/html/6/61/169

3

影响范围

受影响版本

Treck TCP/IP = 6.0.1.66

Treck TCP/IP = 6.0.1.41

Treck TCP/IP = 6.0.1.28

Treck TCP/IP = 5.0.1.35

Treck TCP/IP = 4.7.1.27

不受影响版本

Treck TCP/IP >= 6.0.1.67

4

漏洞检测

一、版本检测    

可通过针对代码资产进行核查，看是否使用了Treck的相关代码，并从源代码中查看软件版本是否在受影响范围。

针对二进制库文件，可以使用如下命令查看库文件的版本，确定是否使用了受影响的版本。

二、 产品检测   

01

远程安全评估系统（RSAS）

绿盟科技远程安全评估系统（RSAS）已具备针对Treck协议的检测能力，请有部署设备的用户升级至最新版本使用。

关于RSAS的配置指导，请参考如下链接：

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

02

物联网准入网关

绿盟科技物联网准入网关，可以对物联网设备进行主动探测发现，形成物联网设备资产库，并能通过对流量进行分析，形成攻击画像。

本次升级Treck漏洞指纹库后，可以主动探测内网使用Treck协议栈的物联网设备，并对这类设备产生告警。

针对发现有Treck漏洞的设备，如果发生攻击行为，物联网准入网关，还可以对设备进行网络阻断。

03

本地关联检测

绿盟科技威胁情报中心第一时间收录了此次漏洞的详细信息，包括漏洞成因、受影响的产品版本和解决方案等。漏洞CPE字段包括了可机读的影响产品字段，可以与用户本地资产管理库进行关联，从而识别是否存在有影响的设备。

5

漏洞防护

01

官方升级

目前官方已在最新版本中修复了该漏洞，请相关用户排查基于Treck公司TCP/IP协议的设备使用情况，并及时升级至6.0.1.67或更高版本。

02

其他防护措施

1、加强网络访问控制，禁止非必要设备接入互联网。设置网络安全防护策略，仅启用安全的远程访问，禁用IP隧道和IP源路由功能、强制执行TCP检查、阻断未使用的ICMP控制消息等。针对物联网设备，禁止IP_IN_IP的访问方式。

2、通过深度数据包检查阻止异常IP流量，使用Suricata IDS自定义规则检测利用Ripple20漏洞的异常IP流量。

如果使用的防护设备可以自定义规则，则可添加如下规则进行防护：

https://github.com/CERTCC/PoC-Exploits/tree/master/vu-257161

3、请相关用户关注物联网设备厂商的软件更新公告，及时更新系统到最新版本。

  关于绿盟科技  

绿盟科技集团股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

绿盟科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市，股票简称：绿盟科技，股票代码：300369。

    ·    声明    ·    

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。